01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 11 giugno 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati.

I malware della settimana 29 Maggio – 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne. Ecco la lista dei malware:

Formbook si conferma il malware più diffuso per la 3° settimana consecutiva. E’ stato in diffusione con campagne mirate a tema ordini e/o pagamenti: le email vettore utilizzavano allegati in formato archivio .ZIP e .RAR;
sLoad è stato veicolato con una campagna a tema Pagamenti diffusa sfruttando account PEC compromessi. La campagna è stata individuata e contrastata grazie agli sforzi congiunti di CERT AGID, Vigilanza AGID e i provider PEC. Contestualmente è stato diramato un alert per avvisare gli utenti della minaccia;
Ursnif è stato veicolato tramite email a tema Delivery: le email veicolavano allegati in formati XLSM contenenti una macro dannosa;
Guloader è stato diffuso con una campagna mirata per l’Italia: le email, a tema pagamenti, contenevano allegati .ZIP contenenti un altro archivio, in formato .GZ. L’eseguibile del malware, in formato .EXE, si annidava nell’archivio .GZ;
Bitrat torna in diffusione dopo 5 mesi di assoluto silenzio: individuata una campagna a tema ordine con allegati in formato .XLSX.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Bitrat in breve
Bitrat è un Remote Access Trojan: consente all’attaccante di controllare il dispositivo infetto tramite comandi inviati da una serie di server C2. Può avere accesso alla webcam, registrare le battiture sulla tastiera, sfruttare il dispositivo per il mining di criptovaluta e scaricare e eseguire upload di altri file sul sistema infetto.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 29 Maggio – 4 Giugno
Le campagne di phishing hanno visto il coinvolgimento di 12 brand: la novità della settimana è che c’è un “pari merito” per numero di campagne di phishing tra quelle classificate come “email generic” a tema investimenti con finalità di truffa Bitcoin e le classiche campagne phishing a tema Banking. Ecco i dettagli:

Scam BTC: sono state ben 7 le campagne a tema Investimenti che hanno preso di mira sia enti pubblici che utenti privati. Il CERT-AGID ha diffuso, sul tema, un apposito alert con i relativi IoC
Microsoft invece è stato sfruttato per campagne di phishing finalizzate al furto delle credenziali di accesso ai servizi Microsoft;
Intesa Sanpaolo e Poste si confermano i brand più sfruttati per le campagne a tema Banking;
UnipolSai, Nexi, ING e Unicredit chiudono la panoramica dei brand sfruttati per campagne di phishing a tema Banking;
Zimbra e Full Inbox sono stati usati per campagne generiche mirate al furto di credenziali di servizi di posta elettronica;
WeTransfer è stato sfruttato in campagne di phishing in inglese, che però hanno visto come destinatari anche alcune PA italiane. L’email a tema Documenti cercava di sottrarre credenziali di accesso al servizio WeTransfer.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una novità: se il formato archivio .ZIP si conferma il più utilizzato, a pari merito però si trova il formato eseguibile .exe. I formati archivio comunque vanno “alla grande” con campagne che hanno visto l’uso dei formati .7z, .rar, .gz. Seguono i formati file Excel .xlsx e .xlsm e il formato .pdf

Fonte: https://cert-agid.gov.it
Pubblicato da s-mart Informa a 11:31
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: accessoremoto, banking malware, CERT, criptovalute, enterprise IT security, furtodati, Italia, malware, phishing, Trojan

01[1]

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

lunedì 7 giugno 2021
La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta “colpa” dell’attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell’evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale.

D’altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l’approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l’efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese).

La nuova strategia antiransomware del governo USA

Il Presidente Biden, poco dopo l’attacco al Colonial Pipeline, oltre a dichiarare lo stato di emergenza ha firmato un ordine esecutivo per mettere in sicurezza le infrastrutture critiche USA: scopo di questo atto è stato quello di rafforzare la resilienza sia di autorità ed enti pubblici che delle imprese private. A partire da un punto: la condivisione delle esperienze. L’ordine infatti prevede che i provider di servizi IT condividano le informazioni relative ai cyber attacchi con il Governo federale.
Conoscere il nemico è fondamentale per sapersi difendere e quindi scegliere i migliori strumenti: nulla viene lasciato al caso e la lista delle “misure urgenti e necessarie” è chiara:

autenticazione a due o più fattori;
architettura delle reti “Zero Trust”;
adozione di tecnologie cloud quali Software as a Service (SaaS); Infrastructure as a Service (IaaS) e Platform as a Service (PaaS);
formazione del personale;
patch management per mantenere i sistemi sempre aggiornati e sicuri.
Ma non finisce qui: l’ordine parla apertamente dell’urgenza della messa in sicurezza delle supply chain. D’altronde, l’attacco al Colonial Pipeline non è stato l’unico duro colpo subito dagli USA: il supply chain attack che ha visto protagonista la piattaforma SolarWind di Orion ha reso chiaro come basti un punto di accesso per raggiungere in maniera capillare le reti di centinaia di migliaia di aziende ed enti. E se questo rischio è vero in generale, ancora di più lo è per quei servizi critici usati dalle agenzie federali. Ecco che Biden ha previsto quindi specifici standard per i software che verranno adottati dal Governo: standard che, se non rispettati, saranno discriminanti sulla possibilità di adozione dei software.

Infine è stato istituito il Cyber Satety Review Board, composto da esponenti incaricati dal governo e di aziende private, che sarà convocato in caso di attacco informatico di livello rilevante o critico: il Board dovrà analizzare l’evento e valutare possibili soluzioni, elaborando anche un protocollo per la messa in sicurezza informatica della rete / delle reti colpite.

L’ordine esecutivo non basta
Inutile dire come l’ordine esecutivo, che comunque traccia degli obblighi piuttosto chiari, sia in realtà una specie di toppa per tappare un buco che, però, ha bisogno di una soluzione duratura. Soluzione duratura che non può essere diversa da una vera e propria nuova strategia di gestione della cybesecurity. A partire dalle aziende: l’amministrazione Biden ha chiesto a tutte le aziende americane di seguire gli standard di sicurezza che il governo stesso impone alle agenzie federali e ai suoi fornitori. Una novità non da poco, in un sistema che, fino ad ora, ha previsto la totale libertà da parte delle aziende private in termini standard di cyber security e data protection.

Per la prima volta poi Biden ha annunciato che la Casa Bianca è già al lavoro per organizzare un sistema di tracciamento dei pagamenti in criptovaluta, notoriamente usati dai cyber criminali per estorsioni anonime: la volontà è quella di arrivare a bloccare i pagamenti legati ad estorsioni da cyber attacchi (la doppia estorsione dei ransomware), ma anche quella di imporre policy di trasparenza agli exchange di criptovaluta.

La questione si internazionalizza: il problema non è di un singolo Stato
L’ultimo punto della strategia messa in campo da Biden è quella di intervenire direttamente contro i gruppi di cyber criminali: gruppi che, per quanto riguarda gli attacchi subiti in Occidente, hanno spesso sede in paesi come Russia, Cina, Corea del Nord ecc.. Impossibile quindi sgominare queste bande senza la collaborazione dei paesi in cui hanno sede: del tema Biden e Putin discuteranno il 16 Giugno. Insomma accordi bilaterali in vista, ma sarà da vedere di che tipologia ed entità: sono sempre più forti e insistenti le voci che chiedono al Governo statunitense di equiparare u attacco ransomware ad un atto di terrorismo.

Eppur si muove: anche l’Italia verso la guerra ai ransomware e al cybercrime
Una parte del PNRR promosso dal Governo Draghi va proprio nella direzione (anzi qui siamo ad una vera e propria rincorsa) di dotare il nostro paese di strutture, infrastrutture e una governance che sia all’altezza dei tempi. Il PNRR arriva infatti proprio mentre è in corso l’approvazione dei vari decreti attuativi necessari al completamento del Perimetro di cyber security nazionale (ne abbiamo parlato qui e qui più specificatamente), mentre si fa sempre più strada la volontà di creare una agenzia di cyber security nazionale separata dal DIS.

01[1]

Vulnerabilità critiche in VMware: attacchi già in corso?

giovedì 10 giugno 2021
Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l’alert rivela l’esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l’alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware.

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata.

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server 6.5, 6.7 e 7.0: qui è consultabile l’avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell’utente.

“il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server” spiegano da WMware. “Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server”.

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default.

La seconda vulnerabilità segnalata da VMware è la CVE-2021-21986, di livello medio di rischio: è presente nei plugin Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability ed è collegata ad alcuni problemi nel meccanismo di autenticazione.

Queste vulnerabilità sono già sfruttate per attaccare le aziende?
Alla richiesta di patching urgente di WMware ha fatto eco anche un avviso da parte del CISA (Cybersecurity and Infrastructure Security Agency), che ha invitato tutte le aziende statunitensi e non solo ad installare gli aggiornamenti. Segno che la paura di nuovi attacchi a tappeto contro le aziende sfruttando vulnerabilità conosciute e già patchate c’è ed è alta: ancora sono in corso, ad esempio, attacchi contro enti e aziende che sfruttano le vulnerabilità ProxyLogon dei Server Microsoft Exchange, nonostante queste siano risolte da tempo.

A rinfocolare i timori comunque è il fatto che online si sono già diffusi, in pochissimi giorni, una serie di Proof Of Concept di exploit, vere e proprie “bozze di codice” pensate per attaccare le aziende “passando” da WMware.

Stime di massima parlando i oltre 6000 sistemi vulnerabili.
Già dai primi di Giugno moltissimi ricercatori di sicurezza hanno iniziato a denunciare scansioni di massa in cerca di vCenter Server WMware vulnerabili. La prima a denunciare l’attività di scanning in corso è stata l’azienda di threat intelligent Bad Packets, mentre il motore di ricerca di dispositivi connessi ad Internet Shodan conferma che sono centinaia i server vCenter raggiungibili tramite Internet e vulnerabili.

01[1]

Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

martedì 1 giugno 2021
Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

La vicenda legata a Proxylogon, l’insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l’NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.

Per approfondire > Microsoft Exchange Server: mentre l’NSA scopre nuove vulnerabilità critiche l’FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon.

Il primo attacco con Red Epsilon è stato individuato la scorsa settimana dai ricercatori di sicurezza di Sophos, che hanno scoperto che un attore esterno illegittimo era riuscito ad accedere alla rete aziendale di un loro cliente sfruttando appunto il set di vulnerabilità ProxyLogon. Le analisi hanno permesso di scoprire che Red Epsilon è scritto in linguaggio GO e che la sua esecuzione è preceduta da un set unico di 12 script Powershell che hanno lo scopo di preparare il terreno alla criptazione di routine. Questi script hanno infatti specifici scopi:

terminare processi e servizi relativi a tool di sicurezza, database, programmi di backup, applicativi Office, client Email;
cancellare le Volume Shadow Copies per impedire il ripristino dei dati;
rubare il file Security Account Manager contenente gli hash delle password;
cancellare i log degli Eventi di Windows;
disabilitare Windows Defender;
sospendere processi;
disinstallare tool di sicurezza;
espandere le permissioni sul sistema.
Uno di questi 12 script sembra un clone del tool per il penetration testing Copy-VSS

Script ed eseguibili di Red Epsilon. Fonte: Sophos

Una volta entrati nella rete, gli attaccanti usano il RDP e il Windows Management Instrumentation (WMI) per installare software ed eseguire gli script Powershell: solo alla fine viene distribuito l’eseguibile di Red Epsilon. Contestualmente a queste operazioni, gli attaccanti installano anche Remote Utilities, un software commerciale per operazioni di desktop remoto, e Tor Browser: con questi ultimi passaggi gli attaccanti si garantiscono una porta aperta da sfruttare anche nel caso dovessero perdere il punto di ingresso iniziale.

Come tutti i ransomware, Red Epsilon copia la nota di riscatto in ogni cartella contenente file criptati: nella nota vi sono le istruzioni per contattare gli attaccanti e negoziare un prezzo per il tool di decriptazione. La nota di riscatto appare molto molto simile a quella usata dal famigerato ransomware REvil. Le uniche differenze sono legate al fatto che i gestori di Red Epsilon hanno corretto alcuni errori sintattici e grammaticali commessi dalla banda di REvil, che si suppone essere di lingua russa.

Fonte: bleepingcomputer.com

Ad ora figurano, sul conto Bitcoin degli attaccanti, già vari pagamenti, il più alto dei quali equivale a circa 210.00 dollari: non male per un ransomware attivo da meno di 10 giorni.

01+28129[1]

Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

lunedì 31 maggio 2021
Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

La scorsa settimana, sLoad è stato messo in distribuzione tramite email di spam veicolate entro il circuito PEC: la campagna era mirata contro utenti italiani, le email veicolavano un allegato .ZIP contenente, a sua volta, un altro allegato .ZIP.

La campagna è stata a tema “Pagamenti”, oggetto email era [RAGIONE_SOCIALE]: entro l’allegato .ZIP è annidato uno script WSF usato come dropper, per scaricare appunto il malware sLoad. La cosa interessante è stata che questa campagna malware è stata contrastata grazie al contributo dei gestori PEC coinvolti.

L’email della campagna sLoad della scorsa settimana. Fonte: https://cert-agid.gov.it/

Ora, a distanza di una settimana, il giro si ripete: una nuova campagna di distribuzione di sLoad, veicolata via PEC, è iniziata nella tarda serata del 30 Maggio ed è terminata qualche ora dopo.

L’email della campagna sLoad di questa settimana. Fonte: https://cert-agid.gov.it/

Le variazioni rispetto alla precedente campagna sono minime: non cambiano né modalità di diffusione né tema usato (sempre Pagamenti). Le modifiche riguardano il testo, leggermente cambiato, è il formato del file vettore allegato, che passa da .ZIP ad un altro formato archivio, ovvero .7Z. Non cambia invece il file contenuto nell’archivio. Anche il giorno per la distribuzione non è cambiato: le campagne sLoad iniziano sempre la domenica sera, poco prima della mezzanotte.

Anche stavolta però, il CERT ha contrastato la campagna: già Domenica sera sono iniziate le prime segnalazioni all’indirizzo email che il CERT ha messo a disposizione degli utenti per segnalare cyber attacchi (malware@cert-agid.gov.it). Di nuovo, la pronta collaborazione con i Gestori PEC ha permesso di contrastare la campagna e, nei fatti, bloccarla prima che si diffondesse.

Qui gli indicatori di compromissione pubblicati dal CERT

sLoad in breve
sLoad è un malware con funzionalità di downloader / dropper di altri malware. Diffuso esclusivamente via campagne di email di spam, può raccogliere informazioni sui sistemi Windows infetti e inviarli al server di comando e controllo, dal quale riceve anche una serie di comandi secondo la tipologia della macchina colpita. Tali comunicazioni usano, sfortunatamente, il servizio BITS che Windows usa invece legittimamente per gli aggiornamenti del sistema operativo. Tra le informazioni sottratte dai sistemi ci sono anche gli elenchi dei processi in esecuzione, ma anche l’eventuale presenza di client di posta elettronica da “scassinare”. Può inoltre acquisire screenshot, analizzare la cache DNS in cerca di precisi domini e, soprattutto, scarica ed esegue i payload di altri malware (principalmente ransomware e trojan).

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 28 maggio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 15-21 Maggio
La scorsa settimana il CERT ha individuato e analizzato 42 campagne dannose attive in Italia: 38 hanno mirato direttamente obiettivi italiani, 4 sono state invece campagne generiche veicolate anche in Italia. 298 sono stati gli indicatori di individuati.

Le famiglie di malware individuate in diffusione sono state 10, per un totale complessivo di 12 campagne.

Qakbot è distribuito con campagne che, dalla scorsa settimana, non si sono interrotte. Le più recenti sono due campagne email mirate per utenti italiani, a tema Documenti. L’allegato vettore è un archivio .ZIP contenente un file XLSM o un file XLS con macro dannosa;
Formbook torna in diffusione con due campagne, a tema Ordini e Contratti. La prima è una campagna generica, che è stata però veicolata anche in Italia: in questo caso l’allegato vettore era un archivio .ZIP contenente un eseguibile .EXE. L’altra campagna email è invece stata mirata contro utenti italiani e utilizzava un allegato .ISO;
Lokibot non ha mai interrotto la campagna di diffusione avviata, ormai, ben due settimane fa. Il file vettore è sempre in formato .ISO, ma è cambiato il tema passato da “Ordini” a “Pagamenti”;
Dharma – torna in diffusione in Italia il ransomware Dharma. La campagna, mirata contro utenti italiani, sfrutta allegati .ZIP contenenti un HTA che funge da dropper. E’ questo file che scarica il ransomware Dharma da un dominio compromesso, localizzato in Spagna: la particolarità di questa variante di Dharma è che riporta, hard-coded, le credenziali del database mysql del server di comando e controllo;
Flubot ha registrato appena una settimana di pausa, ma è già tornato in diffusione via SMS, anche se in maniere meno massiva. La nuova campagna non si differenzia dalle precedenti via SMS se non per un dettaglio: gli SMS provengono da numeri esteri. Ricordiamo la guida del CERT-AGID per affrontare e risolvere questa infezione;
Remcos torna a distanza di un mese in Italia, veicolato da una sola campagna a tema Ordine, contenente un link nel corpo del messaggio: il link conduce al download in un archivio . RAR. Le campagne precedenti facevano invece uso del formato .ISO;
Nanocore è stato rilevato in diffusione con una sola campagna email internazionale, ma veicolata anche in Italia. Le email erano a tema bancario con allegato .ACE;
AgentTesla e ASTesla sono stati in diffusione con due campagne mirate contro utenti italiani, una a tema Documenti e una a tema Banking;
Dridex è stato veicolato con una campagna generica in lingua inglese, ma diffusa anche in Italia: l’email è a tema pagamenti con allegati in formato .XLS.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 15-21 Maggio
Le campagne di phishing individuate coinvolgono 9 brand, la quasi totalità dei quali afferiscono al settore Banking. Questa settimana però, al contrario del solito, il brand più sfruttato per le campagne di phishing è stato ING, che stacca nettamente tutti gli altri brand.

ING è sfruttato addirittura con 13 diverse campagne mirate: è il brand più sfruttato dai phisher;
IntesaSanpaolo, Unicredit e Poste sono state le campagne più attive dopo ING. Il brand Poste è stato sfruttato con 3 campagne, una di queste via SMS;
Fideuram, BPM, Hype, BCC chiudono il panorama dei brand bancari sfruttati a fini di phishing;
Enel è stata sfruttata per una campagna di phishing a tema Energia: scopo della campagna la sottrazione delle credenziali di accesso al servizio.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una conferma: il formato archivio .ZIP è ancora il preferito per gli attaccanti, seguito dai formati .ISO e .XLS.

Fonte: https://cert-agid.gov.it/

1+28129[1]

Ransomware Qlocker: QNAP conferma l’uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

giovedì 27 maggio 2021
Ransomware Qlocker: QNAP conferma l’uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

QNAP ha sollecitato gli utenti ad aggiornare l’app di disaster recovery Hybrid Backup Sync – HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet.

“Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3” hanno fatto sapere con apposito avviso di sicurezza.

Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all’ultima versione disponibile.

La vulnerabilità CVE-2021-28799
E’ una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata, agisce, nei fatti, come un account backdoor che consente all’attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:

QTS 4.5.2: HBS 3 v16.0.0415 e successivi;
QTS 4.3.6: HBS 3 v3.0.210412 e successivi;
QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 e successivi;
QuTS hero h4.5.1: HBS 3 v16.0.0419 e successivi;
QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 e successivi.
Versioni precedenti devono essere aggiornate. La falla invece non riguarda le versioni HBS2 e HBS 1.3.

Qlocker in breve:
Qlocker è un ransomware specializzato in attacchi contro NAS QNAP. E’ stato diffuso con una massiva campagna che è iniziata a metà Aprile e che ha mietuto molte vittime anche in Italia. Il ransomware sostituisce i file presenti sul NAS con un archivio 7-zip protetto da password, per ottenere la quale viene richiesto un riscatto in criptovaluta. Inizialmente risolvibile a causa di alcuni bug (nel sistema di pagamento e per la presenza di un file di log contenente la password dell’archivio), è divenuto poi irrisolvibile senza il supporto degli attaccanti, che hanno proceduto in pochissime ore a risolvere tutti i bug. Ad ora, impedire l’infezione e disporre di copie di backup dei dati sono le uniche due maniere per evitare l’attacco e la perdita dei dati.

Per approfondire >
1. Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

2. Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Un avviso che arriva in ritardo
E’ sempre da valutarsi positivamente la risoluzione di una vulnerabilità (fermo restando che poi occorre che gli utenti eseguano le patch o gli update, problema non da poco), ma sul caso specifico non si può non registrare l’eccessivo ritardo. Sicuramente questo pensano le centinaia di vittime di Qlocker che vedono arrivare avviso e patch con più di un mese di ritardo e con oltre 350.000 dollari già estorti. Inoltre tutti i siti di pagamento Tor afferenti a Qlocker non sono più accessibili, lasciando addirittura vittime disposte a pagare senza possibilità di pagare il riscatto. Qlocker ha chiuso i battenti alla velocità della luce, ma non è chiaro se possa aver subito un destino simile a quello di Darkside.

Ricordiamo comunque che contro i NAS Qnap rimangono attive due diverse campagne ransomware: Agelocker e QNAPCrypt.

01[1]

Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

lunedì 24 maggio 2021
Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori.

La diffusione
Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l’individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l’analisi del codice da parte dei ricercatori di sicurezza.

Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane.

La campagna di attacco
Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan.

Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.

Una email di phishing destinata ad utenti spagnoli. Fonte: bleepingcomputer.com

Le funzionalità di Bizarro
Una volta avviato, Bizarro termina ogni sessione esistente con i servizi di banking online semplicemente arrestando tutti i processi relativi ai browser. Questa banale attività obbliga gli utenti a re inserire le credenziali dell’account bancario: è qui che il malware intercetta le credenziali e le trasmette ai suoi gestori. Può anche disabilitare la funzione di auto completamento nel browser web per catturare le credenziali di login quando gli utenti le digitano manualmente.

Una componente centrale del malware è la sua backdoor: questa supporta oltre 100 diversi comandi, la quasi totalità dei quali serve a mostrare pop up fake agli utenti. Questa funzionalità si attiva soltanto dopo che il malware ha enumerato tutte le finestre per verificare che una sia connessa ai siti bancari supportati.

Altre funzionalità di Bizarro sono:

keylogger: Bizarro registra tutte le battiture sulla tastiera dell’utente;
può prendere il controllo di mouse e tastiera;
può prendere il controllo dei file salvati nell’hard drive;
può spegnere, riavviare, danneggiare il sistema operativo, ma anche limitare la funzionalità di Windows;
recupera dati e informazioni sulla vittima e sul sistema in uso, gestendo anche lo status della connessione.
Le tecniche di ingegneria sociale
Usando specifici comandi per la backdoor, gli operatori di Bizarro provano a spingere con l’inganno l’utente a fornire le informazioni di login al proprio account bancario: possono cioè mostrare all’utente messaggi pop up e finestre che richiedono l’inserimento o delle credenziali stesse o dei codici di autenticazione a due fattori.

Fonte: bleepingcomputer.com

Il contenuto di queste finestre vari: alcune notifiche richiedono dettagli aggiuntivi o di inserire un codice di conferma per un errore inesistente. Talvolta si informa che il sistema deve essere riavviato per concludere un’operazione di sicurezza.

Un’altra tecnica consiste nel mostrare all’utente immagini JPEG che imitano pagine del sito legittimo della banca, con tanto di loghi ufficiali e istruzioni per le vittime. Alcuni di questi messaggi sono usati come screenlocker e nascondono la taskbar, rendendo difficile l’avvio del Task Manager.

La maggior parte di queste immagini allerta l’utente di una fantomatica compromissione del sistema, indicando come sia urgente eseguire immediatamente un update o installare uno componente sul browser per risolvere il problema.

Fonte: bleepingcomputer.com

Molte di queste finestre tentano di indurre l’utente ad installare app bancarie fake, il cui unico scopo è mulare le app legittime degli istituti bancari per indurre l’utente ad inserire credenziali e dati sensibili.

01[1]

Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

mercoledì 19 maggio 2021
Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono “piegati” a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.

Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt’ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.

I protagonisti
Microsoft Build Engine (MSBuild) in breve
è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l’attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E’ proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.

Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.

Remcos RAT in breve:

Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.

RedLine RAT in breve:
in tutta la campagna di attacco il malware vero e proprio, inteso in senso classico, è appunto RedLine che è un malware scritto in .NET. Esegue scansioni sulla macchina bersaglio incerca di software per la gestione della criptovaluta e app di messaggistica, mentre ha funzionalità specifiche per sfruttare e raccogliere dati dal servizio VPN Nord VPN. E’ un malware infostealer, specializzato nel furto di:

cookie;
credenziali VPN;
credenziali memorizzate sui browser (login social ed email, ma anche estremi delle carte di credito ecc…);
wallet di criptovaluta;
informazioni di sistema.

La catena di infezione

Fase 1: la persistenza
In questa fase viene lanciato mshta.exe, nativo su Windows: è usato per lanciare un VBscript col qualer eseguire il file progetto .proj. Viene creata in una apposita cartella di avvio anche un file .lnk.
Fase 2: distribuzione dei payload
Ottenuta la persistenza, è eseguita una funzione che decodifica due array: da questi sono ottenuti un blocco eseguibile, ovvero i payload di Remcos e redLine) e un blocco shellcode. Entrambi sono allocati in memoria.
Fase 3: l’iniezione dei payload in memoria
lo shellcode viene seguito con CallWindowProc o Delegate.DynamicInvok. Chiamate successive allo shellcode hanno lo scopo di allocare la memoria, creare un processo ad hoc e iniettare il payload nella memoria del processo appena creato.

Fonte: Anomali Threat Research

Qualche conclusione
Questa campagna è mirata e non ha, ad ora, diffusione di massa. Non è neppure detto che sbarcherà in Italia, non vi sono certezze né dettagli che possano suggerire tale possibilità: è però utile descriverla e raccontarla sia per allertare chi utilizza MSBuild sia perchè ci consegna alcune interessanti conclusioni. La prima tra tutte è che gli antivirus sono necessari, ma non più sufficienti per garantire la cyber security. Gli attacchi fileless sono per definizione invisibili agli antivirus, proprio perchè spesso sfruttano e si camuffano da processi / strumenti legittimi e perchè sono eseguiti solamente in memoria, senza necessità di download ed esecuzione di file che potrebbero mettere in allarme i sistemi di rilevamento dele minacce. Non a caso gli attacchi fileless sono in crescita oltre l’esponenziale: i dati WatchGuard 20921 parlano di un aumento del 888% degli attacchi di questo tipo tra il 2019 e il 2020.

Formazione e pratiche di “igiene” informatica, protezione della rete, criptazione dei dati sono alcuni strumenti che vanno necessariamente affiancati alla classica soluzione antivirus. La diffusione di un approccio “Zero trust” arricchisce, anche se non completa, il quadro della cybersecurity: se i cyber attaccanti evolvono velocemente, anche la risposta deve essere veloce, perfino laddove richieda di cambiare completamente paradigma.

00[1]

La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

lunedì 17 maggio 2021
La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.

Darkside l’ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell’ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell’attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell’oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L’attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L’azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all’uomo in cerca dei responsabili.

A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l’accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell’ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione. L’evento ha così allarmato i gestori dicampagne ransomware da aver indotto la gang di Revil, che ricordiamo è attualmente la minaccia ransomware più attiva e pericolosa, a definire nuove modalità di azione: gli affiliati al ransomware Revil non potranno più attaccare soggetti attivi nel settore sociale (sanità e istruzione in dettaglio) ed enti governativi. Inoltre gli affiliati dovranno concordare con i gestori i futuri attacchi, onde evitare la trasgressione a questi nuovi vincoli: la paura fa 90, vien da dire!

Fonte: Dmitry Smilyanet

La notizia arriva il giorno dopo una importante dichiarazione di Biden il quale, in conferenza stampa, ha annunciato che gli Stati Uniti si attiveranno in ogni forma possibile per garantire che quei paesi che ospitano infrastrutture ransomware agiscano per chiuderle. Sul caso Darkside, sospettato di avere origine russe, gli Stati Uniti hanno agito in comunicazione diretta con Mosca: segno che ormai per i ransomware sarà tolleranza zero.

Torna il ransomware Conti: in tilt il sistema sanitario irlandese
Il servizio sanitario pubblico irlandese, HSE, ha fatto sapere pubblicamente di aver rifiutato di pagare 20 milioni di dollari di riscatto: l’estorsione segue l’attacco da parte del ransomware Conti che ha portato alla criptazione dei computer e compromesso il funzionamento del sistema sanitario nel paese. L’HSE ha fatto sapere di aver subito l’attacco e arrestato tutti i propri sistemi IT nel pomeriggio di Venerdì.

“Abbiamo optato per lo shut down di tutti i sistemi in via precauzionale, per proteggerli dall’attacco e per permetterci di valutare appieno la situazione con i nostri partner di sicurezza” hanno dichiarato portavoce del sistema sanitario irlandese.

Gli effetti dell’attacco e la scelta di arrestare i sistemi IT hanno portato all’interruzione del servizio in tutto il paese, causando accessi limitati a record medici e dagnostici e rallentando la capacità di risposta del servizio sanitario e già si registrano disagi dovuti ad errate trascrizioni a causa del ritorno al sistema “carta e penna”.

Una fonte anonima ha fatto trapelare una parte dei contatti, già avvenuti, tra i gestori del ransomware Conti e rappresentati dell’HSE: gli attaccanti dichiarano di aver rubato oltre 700GB di file in chiaro prima di procedere alla criptazione dei sistemi. Tra questi dati figurerebbero informazioni su pazienti e dipendenti, contratti, informazioni finanziarie e di fatturazione ecc… Dagli screenshot della chat si apprende anche l’ammontare del riscatto: l’HSE dovrebbe pagare 19.990.000 dollari Usa per ottenere il decryptor e assicurarsi la cancellazione dei dati rubati prima che questi vengano resi pubblici e messi in vendita nel dark web.

La richiesta di riscatto da parte degli attaccanti. Fonte: bleepingcomputer.com

Il Primo Ministro irlandese, Micheál Martin, ha dichiarato pubblicamente che lo stato non pagherà alcun riscatto.

Il ransomware Conti in breve
Il Ransomware Conti, sospettato di avere base in Russia, si diffonde tramite attacchi di phishing preventivi: l’attacco di phshing conduce all’installazione dei trojan TrickBot e/o BazarLoader, tramnite i quali gli attaccanti ottengono l’accesso remoto ai sistemi bersaglio. Tramite tale accesso remoto, gli attaccanti procedono a muoversi lateralmente lungo la rete, rubando credenziali ulteriori e raccogliendo tutti i dati non criptati presenti sulle workstation e i server collegati alla rete. Una volta rubati tutti i dati trovati e messo le mani sulle credenziali dei domini Windows, gli attaccanti si pongono in attesa una setttimana, quindi distribuiscono il ransomware nella rete procedendo alla criptazione di tutti i dati.

Come tutti i ransomware di nuova genereazione, anche Conti utilizza la tecnica del doppio riscatto: uno per ricevere il decryptor e uno per garantire la cancellazione dei dati rubati ed evitarne la pubblicazione e la messa in vendita nel dark web.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy